Korrigerande uppdateringar av ramverket för Ruby on Rails 7.0.4.1, 6.1.7.1 och 6.0.6.1 har publicerats och åtgärdat sex sårbarheter. Den farligaste sårbarheten (CVE-6-2023) kan leda till exekvering av SQL-kommandon som specificerats av angriparen när extern data används i kommentarer som behandlas i ActiveRecord. Problemet orsakas av bristen på nödvändig flykt av specialtecken i kommentarer innan de lagras i DBMS.
Den andra sårbarheten (CVE-2023-22797) kan tillämpas på vidarebefordran till andra sidor (öppen omdirigering) när man använder overifierade externa data i redirect_to-hanteraren. De återstående 4 sårbarheterna leder till en överbelastning på grund av skapandet av en hög belastning på systemet (främst på grund av bearbetning av extern data i ineffektiva och långvariga reguljära uttryck).
Källa: opennet.ru